Bonjour,
Pour une requête simple , sans paramètre, du style :
( on l'utilisera plusieurs fois )Code:Select * from ville
Y a t il des failles avec query ?
(Je pense que non mais je ne veux pas m'habituer à un truc pas bon)
Merci d'avance
Version imprimable
Bonjour,
Pour une requête simple , sans paramètre, du style :
( on l'utilisera plusieurs fois )Code:Select * from ville
Y a t il des failles avec query ?
(Je pense que non mais je ne veux pas m'habituer à un truc pas bon)
Merci d'avance
Pas d'injection donc pas de faille.
Par principe, on considère qu'un SELECT * fait partie des mauvaises pratiques...
Pourquoi donc ? N'est pas plus pratique que Select ..,..,..,..,.. ?
Si justement, c'est plus simple et plus pratique, mais l'enfer est pavé debonnes intentionssimplifications, de choses "plus pratiques", des raccourcis, ... ! Mais les failles de sécurité sont le plus souvent ouvertes en recherchant la simplicité ! :aie:
Bref, le principe est simple : n'expose à ton application que les données dont il a besoin. La plupart du temps, tu n'as absolument pas besoin de tous les champs d'une table. ;)
En termes de performances, c'est également mieux d'éviter le select *.
Ce n'est pas flagrant sur une requête visant une table à 3 colonnes et 50 lignes, mais lorsqu'on commence à se manipuler des requêtes à 5 jointures, entre 20 et 50 colonnes par table et plusieurs millions de résultats...